I 2016 vedtok EU ny personvernforordning, General Data Protection Regulation (EU GDPR), for å sikre like regler for personvern for alle virksomheter og aktører som opererer i EU og EØS land.
Forordningens hovedpunkter:
- Artikkel 5: Bruk av personopplysninger kun til formålet de er innsamlet i
- Artikkel 17: Rett til å bli slettet
- Artikkel 19: Rett til å bli glemt
- Artikkel 20: Rett til portabilitet
- Artikkel 25: Samtykke må gis på en forståelig måte
Forordningen må være implementert i dagens IT løsninger senest 25. mai 2018. Brudd på regelverket etter denne dato kan medføre bøter på inntil 20 millioner Euro eller 4% av bedriftens totale omsetning. IT leverandører kan bli holdt økonomisk ansvarlig sammen med oppdragsgiver.
(Kilde: Kim Knudsen, CA Technologies, Dataforeningens nettverksmøte 25. januar 2017 «Nytt EU krav om håndtering av testdata – Er din organisasjon klar for det?»)
En testleders bekjennelse: EU GDPR – Gjesp!
EU GDPR. Jeg hørte begrepet første gang på et seminar i 2016. Med store forventninger til faglig påfyll og inspirasjon skummet jeg gjennom programmet for å plotte ut dagens foredrag. Jeg stoppet ved «EU General Data Protection Regulation». Det hørtes seriøst ut.
Jeg som har stor respekt for både autoriteter og refleksvester burde absolutt ta ansvar og prioritere foredraget, men med et snev av barnslighet ønsket jeg helst å lytte til et tema som var hakket vassere. Så kom redningen. En som hadde hørt om temaet ga meg kortversjonen: «EU GDPR betyr bare at du ikke kan bruke produksjonsdata til utvikling og test. Egentlig samme regler som før, men nå kommer det til å svi skikkelig i pengesekken hvis det blir oppdaget!». Ok, det var jo ikke noe revolusjonerende. Jeg la temaet på is og prioriterte gladelig et annet foredrag den dagen.
I januar 2017 dukket temaet opp på nytt via Dataforeningen nettverksmøte. Jeg jobbet sammen med en kunde som hadde samme tilnærming til temaet som meg, men vi backet hverandre opp og dro på nettverksmøtet «Nytt EU krav om håndtering av testdata – Er din organisasjon klar for det?».
Jeg kan ikke påstå nettverksmøtet rocka, men det var nyttig! Foredragsholder Kim Knudsen fra CA drillet oss gjennom hovedprinsippene i EU GDPR og gjorde det forståelig for oss dødelige som får angst bare vi hører ordet «forordning». Det som rocka derimot, var to jurister fra Universitetet i Oslo (UiO) som deltok på nettverksmøtet. Wow! To rutinerte damer som kunne EU GDPR langt ut i fingerspissene og bidro som vandrende oppslagsverk. Det var nettopp denne kombinasjonen av foredragsholder og jurister som satte farge på temaet og understreket hvor viktig det er at vi i IT-bransjen må ta grep og forholde oss til utvikling og test av løsninger framover som ivaretar forbrukeren og deres personopplysninger.
Les mer: Test og testledelse
Hva nå?
Ja, hva nå? Hvordan skal vi klare å etterleve EU GDPR i praksis?
Universitetets senter for informasjonsteknologi ved UiO er allerede godt i gang med å innføre forordningen. Hvordan har de kommet så godt i gang? I følge deres jurister trenger det ikke være så komplisert. Nøkkelen er å sette seg inn i forordningen og sørge for gode rutiner og dokumentasjon. Dette er nok en håndterbar løsning internt i virksomhetene, men hva med eksterne integrasjoner? Og hvordan skal vi vite hvilke andre lover og regelverk som har presedens over EU GDPR, som f.eks. arkivloven og finansloven? Jeg er ingen jurist, forsker eller utvikler, jeg er en enkel konsulent med stort engasjement for test. Som testleder opplever jeg ofte nedprioritering av tid og ressurser for tilrettelegging av testdata, men det nytter ikke lenger å feie personsensitive opplysninger under teppet og kjøre på med produksjonsdata i lavere miljøer og satse på at «erklæring om taushetsplikt» er dekkende.
Det er ikke konsekvensen av bøter som bør være pådriveren for å ivareta EU GDPR. Vi bør se på dette som en mulighet til å sette fokus på området Data Governance og bruken av testdata. Både private og offentlige virksomheter må ha eierskap til sine data og bruken av de. Virksomhetene må være villig til å investere i langsiktige løsninger som sikrer kontinuerlig tilgang til gode testdata. Men hvordan kan vi sikre gode testdata på tvers av integrasjoner? I dag utvikler vi IT-løsninger som baserer seg på integrasjoner som krever bl.a. personnummer, D-nummer, DUF-nummer, organisasjonsnummer, registreringsnummer, you name it. Det gir lite mening at parter som ønsker å benytte seg av integrasjoner mot offentlige tjenester skal benytte tid og ressurser på å opprette og vedlikeholde hver sine testdatasett. Datatilsynet sitt svar til dette er: «Alle bør samarbeide i egne nettverk og utforme retningslinjer og bransjenormer. (…) Datatilsynet skal godkjenne bransjenormene». Jeg mener dette er ansvarsfraskrivelse fra Datatilsynet. Dersom vi skal lykkes med samarbeidet må Datatilsynet på banen å legge føringer for hvilke bransjenormer vi skal utarbeide og hvem som må ta eierskap til de. Spesielt offentlige etater må ta større eierskap til sine data og sørge for å gjøre tilgjengelig testdata for alle som ønsker å integrere seg mot deres systemer. Et godt eksempel på dette er bl.a. Skatteetaten, som dataeier av Det Sentrale Folkeregisteret, hvor de har tilgjengelig eget testmiljø med hybridløsning av maskerte data og syntetiske data. Dette gjør det mulig for eksterne parter å bruke god datakvalitet under utvikling og test. Her bør flere private og offentlige aktører følge etter.
Moralsk dilemma
Grunnprinsippene i personvernforordningen er i grunn ikke noe nytt, men det er strammet spesielt inn på varslingsplikt og bøter ved brudd på regelverket. Datatilsynet har innført en ordning med personvernombud i alle offentlige virksomheter for å sikre at EU GDPR ivaretas. Ved brudd på regelverket skal Datatilsynet varsles innen 72 timer og IT leverandører kan bli holdt økonomisk ansvarlig sammen med oppdragsgiver. Dette stiller IT leverandører i et moralsk dilemma; hva gjør vi dersom oppdragsgiver ikke iverksetter tiltak etter varsling av sikkerhetsbrudd? Hvilket ansvar har vi for oppdragsgivers oppfølging av prosessen etter varsling? Og hvilke konsekvenser får det hvis oppdragsgiver anser varslingsplikten som tillitsbrudd fra IT leverandør? Dette kan få store konsekvenser for framtidige kontrakter. Et moralsk dilemma jeg håper vi trygt unngår med sunn fornuft og god dialog mellom oppdragsgivere og IT leverandører. Men jeg etterlyser klarere rammer rundt ansvarsfordeling.
Hvordan komme i gang?
Jeg anbefaler dere å sette av 5 minutter til å lese Datatilsynets kortversjon av nye personvernregler. Jeg håper Datatilsynet kommer sterkere på banen, gjerne i samarbeid med jurister og Dataforeningen, for å legge til rette for å utarbeide nye bransjenormer og tverrfaglig samarbeid. Vi har alle et ansvar, men med så mange aktører i IT bransjen trenger vi noen som trekker oss i samme retning: «Direction is so much more important than speed. Many are going nowhere fast».
Er din organisasjon klar for nye EU regler for personvern? Visma Consulting har kunnskap om personvernforordningen og erfaring med utvikling og test av IT løsninger som ivaretar personsensitive opplysninger på en trygg måte.
Vi hjelper deg gjerne med rådgivning og tilpasning av IT løsninger for tilfredsstille ny personvernforordning, General Data Protection Regulation (EU GDPR)
Bli med på vår GDPR-frokost 6. februar og lær mer om hvordan du kan klargjøre dine IT-løsninger for å tilfredsstille den nye personvernforordningen.
Kilder:
[1] http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
[2] https://www.dataforeningen.no/getfile.php/3736602.1488.wdascxayvc/Kim+Knudsen.pdf
[3] https://www.datatilsynet.no/globalassets/global/05_regelverk/forordningen/punkter_ny-forordning_web_1.pdf
Ordforklaring:
- Forordning: I dag brukes betegnelsen om den mest inngripende formen for rettsakt innen EU. En forordning får i sin helhet lovs kraft i medlemslandene uten å måtte vedtas av det enkelte land. Forordninger kan vedtas av Unionsrådet eller Europakommisjonen og skal godkjennes av Europaparlamentet. Innholdet i flere forordninger er blitt norsk rett på grunn av EØS-avtalen. (Kilde: Store norske leksikon)
- Bransjenorm: En bransjenorm er en bransjes egne retningslinjer for bruk av personopplysninger og sikring av opplysninger. Normen er ikke en plikt, men et hjelpemiddel for godt personvern. (Kilde: Datatilsynet)
